AppGuard: entzieht Apps Berechtigungen, aber…
von caschy | 35 Kommentare
Heute ein paar E-Mails bekommen, die die folgende App als Tipp vorschlugen. Vorab sei erwähnt: bislang nur Android 3.x oder höher, womit die meisten von euch, ganz im Stile von Hoecker, einfach mal raus wären. Denn nur knapp 13 Prozent aller Androiden verfügt über Android 3.x oder höher. Die von Informatikern der Universität des Saarlandes hervorgebrachte, kostenlose App namens AppGuard soll dafür sorgen, dass man Apps unter Android Berechtigungen entziehen kann.
Kleines Beispiel, ich mache es einfach: ihr habt die App „Zombies vs. Trolle“ installiert. Ein Spiel. Doch dieses Spiel will Zugriff auf die Kontakte. Warum will es das? Das wisst ihr selber nicht und habt das Spiel trotzdem installiert. Nun könntet ihr AppGuard starten. Diese App analysiert nun „Zombies vs. Trolle“ und lässt euch die Berechtigung entziehen. Soweit klar? Die Nutzung ist auch easy.
Wie geht AppGuard vor? AppGuard analysiert die App, deinstalliert und modifiziert – ihr bekommt die modifizierte App zur Installation angeboten, der ihr die Rechte entziehen könnt. Hört sich alles klasse an, doch ich habe da so ein bis zwei Bedenken – wenn ich komplett falsch liege, dann berichtigt mich:
1. die durch AppGuard modifizierte App ist nicht in der Lage, via des Herstellers, also auch via Google Play aktualisiert zu werden. Ihr müsstest die modifizierte App deinstallieren, die aktualisierte aus dem Store installieren und wiederholt mit dem AppGuard „rüber gehen“. Eventuell gespeicherte Spielstände? Dürften wohl weg sein.
2. Während in den Lizenzbedingungen von AppGuard folgendes zu lesen ist: „Der SRT AppGuard darf nicht vervielfältigt, weiter gegeben oder dekompiliert werden… sowie App-Guard ganz oder teilweise zu verändern“, geht man selber bei anderen Apps so vor:
Der “Der SRTAppGuard untersucht den Bytecode der App und identifiziert jene Instruktionen, die sicherheitsrelevante Funktionen der Android API aufrufen. An diesen Stellen fügt der SRT AppGuard zusätzlichen Programmcode ein, der den Zugriff auf diese sicherheitsrelevanten Funktionen protokolliert und kontrolliert”.
Man kann durch das Werkzeug also selber genau das machen, was die Macher bei ihrer eigenen App verbieten. Und ich behaupte auch mal, dass viele andere Entwickler ähnliche Texte in ihren Nutzungsbedingungen haben. Schaut euch das ruhig bei Interesse einmal selber an.
Mein Fazit dazu? Nutzt die App nicht, um vielleicht Werbung und ähnliches blocken zu wollen, sondern unterstützt den Entwickler durch Anklicken seiner Werbung oder dem Kaufen der App. Sollte eine App euch fragwürdig erscheinen oder zuviele Rechte fordern, so installiert die App einfach nicht, anders lernen es die Leute nicht. (danke Sven, Christian & Patrick, via Heise)
Wird geladen ...
Ja, scheint aus dem market genommen worden zu sein.
Link funktioniert nicht mehr und lässt sich nicht mehr finden.
Hatte sie vorher an einer meiner Apps getestet, dann ein Update veröffentlicht, war auf dem Gerät dann nicht mehr möglich sie zu updaten, auf anderen ohne Probleme.
@Mj084:
Es gibt einen Port für ICS: http://forum.xda-developers.com/showthread.php?t=1554960
Außerdem gibt es noch einen Autopatcher: http://forum.xda-developers.com/showthread.php?t=1719408 Den habe ich aber noch nicht getestet.
Zitat „Sollte eine App euch fragwürdig erscheinen oder zuviele Rechte fordern, so installiert die App einfach nicht, anders lernen es die Leute nicht.“
Das Problem ist doch eher, dass ich als Normaluser, der schon daran scheitert sich die Rootrechte zu holen, gar nicht wirklich überprüfen kann, welche App was für Daten ausliest und nach Hause schickt. An der Stelle muss ich mich darauf verlassen, dass die Entwickler mit offenen Karten spielen. Und ganz ehrlich, sobald ich kostenlose Apps nutze kann ich doch fast davon ausgehen, dass im Gegenzug Daten abgefischt und ggf. „verwertet“ werden. Denn aus purem Idealismus programmieren die wenigsten. OK, bei Bezahlapps habe ich auch keine Garantie, dass die Entwickler mit offenen Karten spielen.
BTW: Ich habe schon mehrere Apps deinstalliert, bzw. gar nicht erst installiert, die aus unerfindlichen Gründen Zugriff auf die Kontakte haben oder in der Chronik des Firefox lesen wollten.
werbung ist natuerlich was gutes fuer den. entwickler,aber generiert einen nicht kleinen anteil des trafffics. das ist aber nicht mein hauptproblem damit: wer wie ich schon einmal ueber werbebanner betruegerisch um knapp 50 eur gebracht wurde,der sieht das anders. leider laesst sich auch heute das wapbilling nicht bei allen abschalten … und selten ist dieses problem auch nicht gerade.
kauft lieber die vollversion,nachdem ihr die free ausprobiert habt.das isz fair und sicher.
Zu deinem letzten Satz, ich hab mir gestern Abend eine Adblock Variante für Android instlalliert. Ich wollte auch zuvor die Anbieter von Apps unterstützen aber es geht nicht wenn ich das Wetter oder ähnliches über ein App schauen will das dann erstmal Werbung für porntube oder sowas kommt. Zudem kam die Werbung dann über den ganzen Bildschirm. Gegen seriöse Werbung habe ich nichts einzuwenden, aber sowas tue ich mir nicht an. Dann kaufe ich lieber das App, soweit es kostenlose varianten gibt.
@m3adow
Glaube nich das der Port funktoniert…und ich schrieb ja, dass der Patcher meinen CM9 nicht unterstützt…
Mal ein paar Anmerkungen:
1. Die meisten „Alternativen“ die hier genannt werde, wie LBE oder PDroid, benötigen ein geROOTetes Smartphone!!! AppGuard NICHT.
2. Es ist nicht (oder nicht nur) damit getan, dass die .apk entpackt und in der manifest die Rechte entzogen werden. Ich habe das Paper von Prof. Backes und seinem Lehrstuhl (das sind die, die APpGuard entwickelt haben) noch nicht gelesen (hol ich am WE nach), aber die Phrase „Inline Referemce Monitor“sticht doch einem direkt ins Auge. Also wird (wenn ich mich richtig errinnere) im Objektcode Checks eingefügt. Also vermutlich wird der Mschinencode einer App nach kritischen Systemaufrufen durchsucht und dann werden diese Systemaufrufe in einem Monitor gekapselt.
3. Aus 2. ergibt sich sofort als Folge, das, wenn man für eine App essentielle Dienste verweigert, die App natürlich nicht mehr funktioniert. Sprich, wenn man eine GPS Test App startet, dieser GPS verweigert und im Code etwas steht wie „warte auf GPS-Daten“, hängt sich die App auf. Es werden ja keine Fake-Daten (wie bei LBE) übermittelt.
Ich werde mir mal das Paper anschauen, finde aber auf einen ersten Blick die Idee gut, zumindest um mal aus einem wissenschaftlichen Blickwinkel zu untersuchen, wie weit man mit so einem Ansatz aktuell am Beispiel Android kommen kann.
@Google:
Ist das wirklich nötig, das Android dem Endnutzer KEINE EIGENE ECHTE Kontrolle in die Hand gibt! Warum fliesst der Ansatz von LBE nicht in eine neue Android Version ein. Das Apps u.U. nicht mehr funktionieren, wenn man sie mit Fake-Daten füttert (siehe GPS) ist (hoffentlich) jedem klar. Aber ich will wenigstens die MÖGLICHKEIT haben. Auch wenn es bei eingigen Rechten nicht ganz einfach ist es mit Fake-Daten umzusetzen, einige (siehe GPS) sind sofort möglich. BITTE implementiert das in einer der nächsten Android Versionen. Somit ließe sich wenigstens einig Informationen privat vor FB und Co halten.
Viele Grüße
Sven
PS:
Vielen Dank Prof. Backes für die gut gemachten Crypto, Security und Practical Security Vorlesungen. Vor allem die letzten beiden waren eine echte Bereicherung meines Studiums.
Habe wohl mit meinen Vermutungen Recht gehabt, die App ist erst einmal weg.
@m3adow: Danke für den Link zum PDroid-Port für ICS. Hatte das Projekt schon länger nicht mehr verfolgt, seit ich auf ICS (CM9) unterwegs bin, da es vorher ja nur auf Gingerbread-Roms lief. Umso schöner, dass es nun auch dort funzt…
Habe mit dem Auto-Patcher (über Windows via Cygwin) mir mal die aktuelle CM9-Nightly gepatcht, dann die Update.zip über CWM eingespielt und… es funktioniert wunderbar!! Pdroid ist einflach nur klasse und ihmo der beste Rechte-Verwalter für Android. Leider ist die Installation für Otto-Normal-User etwas hoch, der Nutzen ist dafür aber immens.
Ola, Just 4 Info, der Market-Link geht leider ins leere.
Lg
@faselbohne
Wann wurde dein CM9 ROm erstellt?
Mit meiner Nightly vom 5.7.2012 gings mit dem AutoPatcher nicht..
@rowi: Damit könntest du natürlich recht haben
Ich glaube nicht, dass Google eine App-Rechteverwaltung in Android integrieren wird. Google hat sich das wohl schon überlegt. Menn man mit Android-Einstellungen den Apps Rechte entziehen könnte, würden das Millionen Menschen tun, und sich anschließend darüber beschweren, wie instabil und unzuverlässig die Android-Apps laufen.